愤怒的大鸟 发表于 2015-2-16 00:22:42

ASP网站制作之跨站Script进击(一)

帮助用户快速实现各种应用服务,ASP商有整合各方面资源的能力,可在短期内为用户提供所需的解决方案。例如,典型的ERP安装,如果要在客户端安装的话需要半年到二年的时间,但是美国的一些ASP商如USI和CORIO能在90—120天内提供ERP应用方案。   跨站Script进击(一)


  每当咱们想到黑客的时分,黑客常常是如许一幅画像:一个伶仃的人,悄然进入他人的办事器中,停止损坏或盗取他人的秘
密材料。或许他会更改咱们的主页,甚者会盗取客户的信誉卡号和暗码。别的,黑客还会进击会见咱们网站的客户。与此同时,我
们的办事器同样成了他的爪牙。微软称这类进击为“跨站script”进击。而这类进击大多半都产生在网站静态发生网页的时侯,但黑
客的方针并非你的网站,而是阅读网站的客户。

跨站script进击的申明

  在一本名为<<ADVISORY CA--2000-02>>的杂志中,CERT正告人人:假如办事器对客户的输出不停止无效验证,黑客就会输出
一些歹意的HTML代码,当这些HTML代码输出是用于SCRIPT法式,他们就可以使用它来停止损坏,如拔出一些使人讨厌的图片或声响
等,同时,也无能扰了客户准确阅读网页。

  咱们晓得,有些伴侣已经被引诱到一些可疑的收费网站,他们失掉的仅仅是10到20个小的窗口,这些窗口经常陪伴着由JAVA
或 JAVASCRIPT生成的生效安钮,这被称为鼠标圈套。封闭这些窗口是白费的,每当咱们封闭一个窗口,又会有10几个窗口弹出。
这类情形经常产生在办理员没在的时侯产生。鼠标事务是黑客使用跨站SCRIPT办法攻客户的典范典范。

  歹意的标签和SCRIPT不纯真的恶作剧,他们乃至可以盗取材料和摧毁体系。一个伶俐的乃至是不敷伶俐的黑客都可以利用
SCRIPT搅扰或改动办事器数据的输出。使用SCRIPT代码也能进击客户体系,让你的硬盘尽损。并且你要晓得,在你一边利用办事
器的时分,黑客的SCRIPT也正在你办事器里平安的中央运转着的呀!假如客户对你的办事器十分信认,一样他们也会信赖那些歹意
的SCRIPT代码。乃至这个代码是以〈SCRIPT〉或〈OBJECT〉的模式来自黑客的办事器。

  即便利用了防火墙(SSL)也不克不及避免跨站SCRIPT的进击。那是由于假如生成歹意SCRIPT代码的装备也利用了SSL,咱们办事
器的SSL是不克不及分辨出这些代码来的。咱们岂非就如许把客户已经那末信赖的网站拱手让给黑客吗?并且有这类损坏的存在,会让你
网站信用尽损的。

1、跨站SCRIPT进击示例:

  依据CERT的材料,静态输出大致有这几种模式:URL参数,表格元素,COOKISE和数据恳求。让咱们来剖析一下,这个只要两
个页面的网站,网站名为:MYNICESITE.COM。第一页利用一张表格或COOKIE来获得用户名:

<%@ Language=VBScript %>

<% If Request.Cookies("userName") <> "" Then

Dim strRedirectUrl

strRedirectUrl = "page2.asp?userName="

strRedirectUrl = strRedirectUrl & Response.Cookies("userName")

Response.Redirect(strRedirectUrl)

Else %>

<HTML>

<HEAD>

<TITLE>MyNiceSite.com Home Page</TITLE>

</HEAD>

<BODY>

<H2>MyNiceSite.com</H2>

<FORM method="post" action="page2.asp">

Enter your MyNiceSite.com username:

<INPUT type="text" name="userName">

<INPUT type="submit" name="submit" value="submit">

</FORM>

</BODY>

</HTML>

<% End If %>

第二页前往用户名以示接待:

<%@ Language=VBScript %>

<% Dim strUserName

If Request.QueryString("userName")<> "" Then

strUserName = Request.QueryString("userName")

Else

Response.Cookies("userName") = Request.Form("userName")

strUserName = Request.Form("userName")

End If %>

<HTML>

<HEAD></HEAD>

<BODY>

<H3 align="center">Hello: <%= strUserName %> </H3>

</BODY>

</HTML>
  当你正经常输出文字时,一切都很正常。假如你输出Script代码:<SCRIPT>alert('Hello.';</script>,JavaScript正告标
签就会弹出来:
  在你下一次会见时,这个警示标签一样会呈现;这是由于这个Script代码在你第一次会见的时后就已留在cookie中了。这是
一个复杂的跨站进击的典范。

  假如你以为这是一个特别情形,你也无妨到网上其余中央看看,亲身试一下。我已经对一些大型的当局网站、教导网站和商
业网站停止过测试,他们傍边切实其实有局部呈现了以上所说的情形,我乃至发明了我常常利用信誉卡的网站也竟然对输出不停止任何
过滤,想一想真是恐怖。

from allasp
写软件都是想的时间比写的时间要长的.如果反过来了就得看看是什么原因了. 另外大家可以回去问问公司里的小MM.(一般企业里,跟你们交付软件接触得最多的是她们)

小女巫 发表于 2015-2-16 00:33:44

如何更好的使自己的东西看上去很不错等等。其实这些都不是问题的实质,我们可以在实践中不断提升自己,不断充实自己。

愤怒的大鸟 发表于 2015-2-17 00:08:32

那么,ASP.Net有哪些改进呢?

飘灵儿 发表于 2015-3-1 18:03:38

以上是语言本身的弱点,在功能方面ASP同样存在问题,第一是功能太弱,一些底层操作只能通过组件来完成,在这点上是远远比不上PHP/JSP,其次就是缺乏完善的纠错/调试功能,这点上ASP/PHP/JSP差不多。

活着的死人 发表于 2015-3-3 13:12:32

ASP.Net和ASP的最大区别在于编程思维的转换,而不仅仅在于功能的增强。ASP使用VBS/JS这样的脚本语言混合html来编程,而那些脚本语言属于弱类型、面向结构的编程语言,而非面向对象,这就明显产生以下几个问题:

再见西城 发表于 2015-3-4 17:12:28

我可以结合自己的经验大致给你说一说,希望对你有所帮助,少走些弯路。

简单生活 发表于 2015-3-5 15:45:42

下载一个源代码,然后再下载一个VBScript帮助,在源代码中遇到不认识的函数或是其他什么程序,都可以查帮助进行解决,这样学习效率很高。

仓酷云 发表于 2015-3-12 05:07:05

我认为比较好的方法是找一些比较经典的例子,每个例子比较集中一种编程思想而设计的。

若相依 发表于 2015-3-19 18:04:12

Response:从字面上讲是“响应”,因此这个是服务端向客户端发送东西的,例如Response.Write

柔情似水 发表于 2015-3-30 02:49:13

以上是语言本身的弱点,在功能方面ASP同样存在问题,第一是功能太弱,一些底层操作只能通过组件来完成,在这点上是远远比不上PHP/JSP,其次就是缺乏完善的纠错/调试功能,这点上ASP/PHP/JSP差不多。

谁可相欹 发表于 2015-4-1 04:37:38

先学习用frontpage熟悉html编辑然后学习asp和vbscript建议买书进行系统学习

不帅 发表于 2015-4-9 05:17:35

不是很难但是英文要有一点基础网上的教程很少有系统的详细的去买书吧,另不用专门学习vb关于vbscript脚本在asp教材都有介绍

只想知道 发表于 2015-4-11 09:15:05

兴趣爱好,那么你无须学编程,申请一个域名和空间,在网上下载一些免费开源的CMS系统,你不用改代码,只须熟悉它们的后台操作,像office一样简单方便,很快就能建一个站点,很多站长都是这样做的

冷月葬花魂 发表于 2015-4-11 18:21:44

以上是语言本身的弱点,在功能方面ASP同样存在问题,第一是功能太弱,一些底层操作只能通过组件来完成,在这点上是远远比不上PHP/JSP,其次就是缺乏完善的纠错/调试功能,这点上ASP/PHP/JSP差不多。

若天明 发表于 2015-4-13 00:51:42

ASP(ActiveServerPages)是Microsfot公司1996年11月推出的WEB应用程序开发技术,它既不是一种程序语言,也不是一种开发工具,而是一种技术框架,不须使用微软的产品就能编写它的代码,能产生和执行动态、交互式、高效率的站占服务器的应用程序。

精灵巫婆 发表于 2015-4-16 01:39:12

交流是必要的,不管是生活还是学习我们都要试着去交流,通过交流我们可以学到很多我们自己本身所没有的知识,可以分享别人的经验甚至经历。

山那边是海 发表于 2015-4-17 19:33:20

不能只是将它停留在纸上谈兵的程度上。

小妖女 发表于 2015-4-27 14:32:25

从事这个行业,那么你可以学ASP语言,简单快速上手,熟练dreamweav排版,写asp代码,熟练photoshop处理图片,打好基础就行了

蒙在股里 发表于 2015-5-1 02:11:31

我们必须明确一个大方向,不要只是停留在因为学而去学,我们应有方向应有目标.

第二个灵魂 发表于 2015-5-4 13:17:54

我想问如何掌握学习节奏(先学什么再学什么)最好详细点?
页: [1] 2
查看完整版本: ASP网站制作之跨站Script进击(一)